GENIAN NAC 소개 (Networks Access Control) 서린정보기술㈜ 윤주병 대리 / 011-9027-4198/ sorin@sorin.co.kr
네트워크 보안에 Endpoint 보안 기술을 결합하여 강력한 보안대응 체계 구축 NAC (Networks Access Control) 이란? 부적절한 사용자의 IT 인프라 접근 이상 / 과부하 트래픽으로 인한 피해 비인가 사용자/단말기의 네트워크 무단 접속 가능 방문객 / 협력업체 직원의 내부 주요 서버 접근 취약한 시스템의 네트워크 사용 F/W, AV 등을 사용하고도 지속적인 내부망 피해 발생 네트워크 환경 변화에 따른 예방 및 대응체계 필요성 대두 현황 내부 네트워크 제어 및 통제 단말기 정책 준수 통제 AV 및 최신 MS Patch 설치 강제 공유폴더 및 패스워드 정책 준수 강제 운영 네트워크에 적합한 인증방식을 통한 비인가 사용자의 접속을 제어 방향 이상 시스템 탐지 및 격리 지능적 IT 인프라 관리 내부 악성 트래픽 발생 시스템의 추적 및 네트워크 격리를 통해 네트워크 안정성 확보 내부 네트워크 및 주요 시스템 변경사항 관리 IT 자산 및 IP관리 Solution Trend 네트워크 보안에 Endpoint 보안 기술을 결합하여 강력한 보안대응 체계 구축
Genian NAC NAC (Networks Access Control) 이란? Network Access Control Endpoint Security 강화 관리자의 통제 권한 강화 내 부 망 장애 사전 예방 Genian NAC 사용자 / Device 단말기 정책 준수 Check 악성트래픽 발생 시스템 추적 역할별 네트워크 접근 통제 단말기 Remediation 내부망 주요 변경 사항 탐지 사용자 네트워크 접속 관리 정책 준수 강제 내부망 이상행위 탐지/대응 Network Access Control
Dynamic NAC All–in–One Solution NAC 특장점 강력한 네트워크 행위 분석 네트워크 장비 교체 “불필요” 네트워크 설정/구성변경 “불필요” PC방화벽 S/W 설치 “불필요” No Single point of failure No Network Latency Dynamic NAC Honey-Pot을 이용한 악성 트래픽 탐지 및 격리 네트워크 이상행위 및 변경사항 탐지 (Rogue AP탐지, Ad-Hoc 네트워크 탐지, Rogue 서비스 시스템 탐지 등) 강력한 네트워크 행위 분석 IP Management 기능 탑재 Patch Management 기능 탑재 IT Asset Management 기능 탑재 Desktop Management 기능 탑재 Synergy with all Comonents All–in–One Solution
Pre-Connect Phase
Pre-Connect Phase
System Component Internet Policy Center Multi Sensor Single Sensor VLAN #1 Internet Policy Center Administrator (Web Based Control) Multi Sensor PC Stealth Agent (Option) ● 관리자 Web UI 수행 ● 단말기 및 사용자 인증 및 보안상태 Check 및 Remediation 수행 관리자 PC 사용자 PC ● 네트워크 위험 탐지 및 격리 ● 네트워크상의 장비 및 사용자 통제 ● 다수의 Network Sensor 및 Agent에 대한 정책 설정 / 관리 Single Sensor
NAC 구성환경 단일 네트워크 구성 ◦ 구성 설명 : - Backbone Switch에서 VLAN별 Port 연결(최대 6개) - Backbone Switch의 VLAN Trunk 를 이용하여 Multi VLAN 지원(802.1q 지원) ◦ 장점 - 적용 예외 IP 설정 없이 자동으로 Agent 설치 - Backbone Switch의 구성 변경 없이 작업 가능 - Switch 성능 저하 없음 - 네트워크에 연결된 모든 IT 자산 현황 파악 가능 ◦ 단점 - 지점 / 지사 네트워크가 존재하는 경우 지점별 Sensor 설치 요구 VLAN별 Port • • • Genian NAC VLAN #1 VLAN #4 VLAN #5 VLAN #6 VLAN #3 VLAN #2
NAC 구성환경 본사 – 지점 네트워크 구성 ◦ 구성 설명 : - 지점별 Network Sensor와 함께 구성 - Backbone Switch의 VLAN Trunk 를 이용하여 Multi VLAN 지원(802.1q 지원) Genian NAC Sensor 지점 네트워크 Internet • VLAN Trunk Port ● ● ● ● ● VLAN #2 VLAN #N VLAN #1
NAC 구성환경 본사 / 지점 사용자 보안 정책 준수로 보안성 강화 비인가 장비 및 사용자의 네트워크 사용 제한 및 통제 본사 / 지점 의 보안정책 준수 (Policy Enforcement) 내부 네트워크의 가용성 향상 내부 문제 발생 시스템을 네트워크에서 격리 장애 요소 제거를 통해 무 중단 서비스 제공 Genian NAC 내부 주요 시스템 보안성 강화 비인가자로부터 내부 주요 자산 및 정보 보호 업무별 네트워크 접근 권한 세분화를 통한 내부 보안 강화 전사적 네트워크 위험 관리 및 모니터링 체계 수립 본사 / 지점 네트워크 자산 및 현황 실시간 관리 비인가 장비 및 변경 사항 추적관리
주요기능 1. 보안 정책에 따른 트래픽 제어 기능 신규 등록되는 사용자(장비)에 대해 무조건 차단 or 허용 하는 것이 아니라 보안 정책에 따라 네트워크 사용 목적에 맞게 트래픽을 제어합니다. ① 방문자를 위한 내부 네트워크 접근은 막고 외부 인터넷만 허용 ② 작업자의 경우 외부 인터넷 사용은 막고 내부 업무만 허용 ③ 유지보수 직원을 위해 특정 서버만 접근을 허용하고 나머지는 차단
주요기능 2. 필수 프로그램 미 설치 시 네트워크 차단 ② ③ ① 2. 필수 프로그램 미 설치 시 네트워크 차단 ② 백신 등 필수 프로그램이 설치되어 있지 않는 경우 네트워크 사용을 제한 ① 필수 프로그램이 설치되어 있지 않는 경우 네트워크 차단 ② 해당 프로그램 자동 or 수동 배포 / 설치 서비스 제공 ③ 업무 등을 고려하여 특정 네트워크에 대한 사용은 가능하도록 유연성 제공 ③ ① 그룹웨어 서버 인터넷
주요기능 3. 임계치 위반시 자동으로 해당 PC의 네트워크 차단 ② ③ ① 유해 트래픽 및 임계치 설정에 따른 트래픽 차단을 위한 Honey Pot IP 구성 ① 네트워크 내에서 사용하지 않는 IP들을 미끼 IP로 자동 설정 ② 미끼 IP로 패킷 유입 시 임계치 설정에 따른 탐지 서비스 제공 ③ 임계치 초과 발생 시 다양한 형태로 대응 (알람, 네트워크 차단, 네트워크 격리) ③ ① 네트워크 차단 vs 네트워크 격리 1. 네트워크 차단 : 단말기의 네트워크 인터페이스에서 발생된 패킷을 제 3의 장비에서 차단 2. 네트워크 격리 : 유해트래픽을 발생시키는 단말기에서 패킷이 네트워크 인터페이스 밖으로 나오지 못하게 하는 형태(Surgical Defense)로 물리적으로 NIC를 뽑은 것과 동일함.
주요기능 4. 비정상 패킷 탐지 및 차단 공격 위험 이벤트 중 Unused IP를 이용하여 트래픽을 유도하고 비정상 유무를 결정합니다. ① 포트 스캔 행위 탐지 및 대응 ② 제공하지 않는 서비스 요청 시 탐지 및 대응 ③ ARP Bombing 형태의 과도한 ARP Request 탐지 및 대응 ① ② ③
주요기능 5. IP, MAC, 사용자 이름, 그룹명, 벤더 정보 제공 ② ① ③ 네트워크에 존재하는 모든 장비 및 단말기에 대한 상세 정보를 제공 ① MAC 정보, IP정보, 사용자이름 정보, 벤더 정보 정보 제공 ② 사용중인 IP정보 및 사용하지 않는 IP정보 제공 ③ 논리 / 물리적 그룹 관리 – 센서 안에서 논리적인 그룹 관리 가능 ② ① ③
주요기능 6. 주요 서버(서비스) 검출 기능 내부 네트워크 내에서 운영 중인 다양한 서비스 중에서 관리자가 인지하지 못하고 있는 서버 및 서비스 등을 찾아서 보고합니다. ① DHCP, DNS, SNMP, HTTP, TELNET, SMTP 등 서비스 제공 단말기 자동 탐지 ② 단말기에서 Listen 중인 Open Port 자동 탐지 ※ 서비스 탐지 추가 사전에 정의된 DHCP, DNS, SNMP, TELNET, Web 이외에 다른 서비스에 대한 탐지를 원한다 면 Open Port 정보를 활용하여 추가 생성 가능 ① ②
주요기능 7. 플랫폼 및 운영체제 탐지 제공 Genian NAC는 네트워크에 존재하는 운영체제 및 벤더사 플랫폼 정보를 제공합니다. ① 네트워크에 통신하는 모든 장비 및 단말기 자동 분류 ② 플랫폼 및 벤더사별 자동 분류 서비스 제공 ③ 플랫폼 오 탐지 보고 서비스를 통한 플랫폼 DB 지속적인 업그레이드 ② ① ③
주요기능 8. 신규 IP 사용을 위한 사용자 등록 및 사용자 인증 ② ① ③ ① Web-Based IP 사용 신청을 위한 사용자 등록 서비스를 제공 ② IP 사용 신청을 위한 사용자 기본 정도 등록 ③ 사용자 등록 요청 후 관리자의 승인(confirm) 이후 네트워크 사용 ② ① ③
주요기능 9. IP 변경 방지 기능 기관의 정확한 IP 사용 현황 관리와 사용자의 불법적인 IP 변경을 막고자 IP 변경 방지 서비스를 제공합니다. - IP 변경 금지 위반 시 IP 충돌 방식 및 접속 차단 페이지 방식을 통해 대응합니다. ① IP 변경 금지 설정된 현황 과 위반 현황 정보를 실시간으로 제공합니다. ② 서버 및 네트워킹 장비들을 위한 다중 IP 사용을 제공합니다. ① ②
주요기능 10. IP 충돌 보호 기능 : 주요 서버 IP 보호 ① ② 기능을 제공합니다. - 충돌보호 설정된 시스템의 보호 ① IP 충돌 보호 위반 단말에 대한 정보 제공 ② IP 충돌을 발생시킨 사용자 단말의 네트워크 Disable ① ②
주요기능 11. 패치 관리 서비스 ② ① ③ Microsoft OS 및 Application 패치 자동화 서비스 11. 패치 관리 서비스 Microsoft OS 및 Application 패치 자동화 서비스 ① 다양한 패치 수행 옵션 제공(패치 과정 선택, 패치 후 리부팅 여부, 지정 시각 설치 등) ② Microsoft OS 및 Application 에 대한 패치 서비스 제공 ③ 패치모음 Set 을 이용한 패치 자동 설치 및 특정 패치에 대한 관리자 확인 설치(수동 설치) 지원 ② ① ③
주요기능 12. PC 소프트웨어 자산 관리 ① ② ② ③ ③ ① 설치 소프트웨어 현황 및 통계 ① 운영체제 통계 정보 제공 ② 라이센스 관리 현황 정보 ③ 소프트웨어 배포 결과 통계 정보 제공 ② ② ③ ③ ①
주요기능 13. 소프트웨어 라이센스 관리 불법 소프트웨어 단속에 대비한 사용 중인 소프트웨어 라이센스 사전 현황 정보 제공 ① PDMC(프로그램 심의 조정 위원회)에서 제공하는 소프트웨어 라이센스 DB 제공 ② 사용자가 추가 관리하고자 하는 소프트웨어에 대한 라이센스 추가 기능 제공 ③ 라이센스 보유 대비 설치 현황 정보 제공 사용자 정의 라이센스 ② ① 라이센스 관리 현황 ③
주요기능 14. 소프트웨어 원격 배포 및 강제 설치 기능 ① ② ③ 필수 소프트웨어를 자동 배포 및 설치할 수 있는 기능 제공 14. 소프트웨어 원격 배포 및 강제 설치 기능 ① 필수 소프트웨어를 자동 배포 및 설치할 수 있는 기능 제공 ① Genian NAC를 배포 서버로 활용 가능 ② 원격 배포 서버의 URL 입력을 통한 배포 서비스 제공 ③ 설치 후 리부팅 여부 선택 옵션 제공 ② ③
주요기능 15. PC 하드웨어 자산 관리 ② ① ③ Active-X 설치 시 상세한 PC 하드웨어 자산 정보를 제공합니다. ① 하드웨어 현황 정보 통계 제공 ② 하드웨어 Spec별 검색 서비스 제공 ③ 각 PC에 설치된 시스템 상세 정보 제공 (CPU, HDD, Memory, NIC, 공유폴더, 오픈 포트 정보 등) ② ① ③
주요기능 16. PC 보안 및 Integrity Check 서비스 PC에 설치된 Active-X Agent를 통해 다음과 같은 기능을 수행합니다. PC 보안 취약성 점검 서비스 ① 필수(or 악성) 프로그램(프로세스, 파일, 레지스트리) 사용 여부에 따른 네트워크 사용 통제 ② 보안 패치 만족 여부에 따른 네트워크 사용 통제 ③ 계정 취약성 검사 : Null Password 계정 탐지 및 제어 ④ 화면보호기 서비스 : 비인가자의 PC 사용 접근 차단 ⑤ PC에 악성 백도어 포트의 오픈 여부에 따른 네트워크 사용 통제 내부 네트워크 가용성 보장 서비스 ① IP Spoofed Packet 탐지 (No filter driver / PC에서 탐지 & Sensor 에서 차단) ② PC 에서의 Session 임계치 조사 (No filter driver / PC에서 Session Counting & Sensor 에서 차단 ③ Ad-Hoc 네트워크 탐지 : PC 인터페이스에 서렁된 IP가 내부 네트워크 외 다른 IP로 UP 상태인 경우 ④ 우회 경로 탐지 : 클라이언트에 설정된 게이트웨이 주소가 우회 가능한 주소로 설정된 경우
제품 기술 비교 구 분 Cisco NAC 유넷시스템 AnyClick NAC Juniper UAC 지니네트웍스 구 분 Cisco NAC 유넷시스템 AnyClick NAC Juniper UAC 지니네트웍스 Genian NAC Symantec SEP TendMicro OfficeScan McAffee ToPS 1. 일반 사항 1.1 Enforcement Type Infrastructure NAC Infrastructure NAC Network Based NAC Dynamic NAC Host Based NAC 1.2 구성 요소 ACS, CTA NAC, Adapter, Agent IC, IA, IE NAC, Agent SPM, SPA, SE Cisco NAC, NVWE, Agent MPE, ToPS - Policy Server Access Control Server AnyClick Server Infranet Controller Genian Policy Center Symantec Policy Manager OfficeScan Server McAfee Policy Enforcer - Enforcer In line & out of Band Out of Band In line - Agent Driver Base Agent Driver Base Agent Active-X Agent 1.3 네트워크 구성(설정) 변경 요구 Vaires None Moderate 2. 사용자 인증을 통한 네트워크 통제 2.1 802.1X 기반 유무선 인증서비스 지원 미지원 2.2 RADIUS 기반 인증 서비스 2.3 Active Directiory(AD) 연동 2.4 Web Base 사용자 인증(Agent- less) 3. 패치 및 소프트웨어 관리를 통한 네트워크 접근 통제 3.1 PC OS Patch 자동설치 지원(Third Party 이용) 지원(Third Party 이용) 수동 설치 3.2 MS Application 자동 패치 및 설치 3.3 소프트웨어 자동 배포 및 설치
Agent-less with Honey Pot 제품 기술 비교 구 분 Cisco NAC 유넷시스템 AnyClick NAC Juniper UAC 지니네트웍 스 Genian NAC Symantec SEP TendMicro OfficeScan McAffee ToPS 4. 네트워크 허가 통제 4.1 미패치 시스템의 네트워크 접근 통제 지원(Third Party 이용) 지원 미지원 4.2 필수 소프트웨어 미 설치 시스템의 네트워크 통제 4.3 백도어 포트 사용 시스템의 네트워크 접근 통제 4.4 악성 프로세스 구동 시스템의 네트워크 접근 통제 4.5 악성 파일이 존재하는 시스템의 네트워크 접근 통제 4.6 악성 레지스트 키 사용 시스템의 네트워크 접근 통제 4.7 시간별 네트워크 접근 통제 5. 네트워크 접속 / 유해트래픽 차단 5.1 보안정책에 따른 Outbound 트래픽 제어 Switch & PC Base PC Base Agent-less with Honey Pot 5.2 웜, 바이러스로 인한 비정상 트래픽 감지 및 차단 IPS Base
제품 기술 비교 구 분 Cisco NAC 유넷시스템 AnyClick NAC Juniper UAC 지니네트웍 스 구 분 Cisco NAC 유넷시스템 AnyClick NAC Juniper UAC 지니네트웍 스 Genian NAC Symantec SEP TendMicro OfficeScan McAffee ToPS 6. 기 타 6.1 DHCP 서비스 기능 지원 미지원 6.2 PC Firewall 기능 지원(Third Party 이용) 6.3 Host IPS 기능 6.4 Spyware / Spam 차단 기능 6.5 Anti Virus 기능 6.6 DMS(Desktop Management Service) 기능 6.7 Network Infra Resources Management 기능 Installed Agent All Devices 6.8 주요 시스템의 IP 변경 및 충돌 방지 기능 6.9 불법 서비스 및 시스템 탐지(DHCP 서버, AP 등)
Thank You 서린정보기술 주식회사 [ http://www.sorin.co.kr] 서울 강남구 논현동 142번지 영풍빌딩 3층 TEL : 02-519-3612 / FAX : 02-549-5069 담당자 : 윤주병 대리 011-9027-4198 / jbyoon@sorin.co.kr